GoDaddy Chuyển Giao Tên Miền Cổ Lâu Cho Người Lạ Mà Không Cần Bất Kỳ Giấy Tờ Nào

Bạn sẽ làm gì nếu tổ chức của bạn đã sử dụng một tên miền trong 27 năm, và nhà đăng ký giữ tên miền đó đột ngột thu hồi nó mà không có bất kỳ cảnh báo nào? Toàn bộ hệ thống email và website đều bị tắt ngấm. Bộ phận hỗ trợ kỹ thuật của công ty dành bốn ngày để bảo bạn rằng "Chỉ cần chờ đợi, chúng tôi đang xử lý". Đến ngày thứ tư, công ty thông báo rằng người khác đã sở hữu tên miền đó và nó không còn thuộc về bạn nữa.

Hãy đọc tiếp. Câu chuyện điên rồ này xảy ra chính xác vào tuần trước.

Một sự cố "bảo mật" từ nội bộ

Lee Landis, một đối tác tại Flagstream Technologies (một công ty công nghệ tại Lancaster, PA), là nhân vật chính trong câu chuyện này. Vào chiều thứ Bảy tuần trước, một trong các tên miền của khách hàng anh ấy đã biến mất khỏi tài khoản GoDaddy.

Lee là một trong những nhân viên IT có năng lực nhất mà tôi biết. Tài khoản GoDaddy này đã bật xác thực hai yếu tố (2FA) kép, yêu cầu cả mã qua email và mã từ ứng dụng xác thực để đăng nhập. Bản thân tên miền cũng đã bật tính năng bảo vệ quyền sở hữu. Tuy nhiên, nhật ký kiểm tra (audit log) chỉ đơn giản ghi nhận "Chuyển sang Tài khoản GoDaddy Khác" bởi một "Người dùng nội bộ" với trạng thái "Thay đổi được xác thực: Không".

Nhật ký kiểm tra cho thấy chuyển giao bởi người dùng nội bộ

Như bạn có thể thấy ở trên, GoDaddy đã gửi email cho Flagstream lúc 1:39 chiều thông báo về yêu cầu khôi phục tài khoản. Chỉ ba phút sau, việc chuyển giao được khởi tạo. Bốn phút sau, nó hoàn tất. Tất cả diễn ra vào một buổi chiều thứ Bảy.

Mọi thứ tại tổ chức bị ảnh hưởng đều bị offline vì GoDaddy đã đặt lại khu vực DNS về mặc định khi họ di chuyển tên miền vào tài khoản mới. Cùng một máy chủ tên, nhưng tệp khu vực DNS trống rỗng. Khách hàng của Lee đã mất website và email trong bốn ngày tiếp theo.

Cơn ác mộng hỗ trợ kỹ thuật

Tên miền này đã được sử dụng tích cực trong 27 năm. Nó thuộc về một tổ chức quốc gia với hai mươi địa điểm trên khắp Hoa Kỳ. Mỗi chi nhánh chạy website và email của họ trên một tên miền con của tên miền cha này. Khi tên miền cha "chết", tất cả các chi nhánh cũng chết theo.

Lee đã gọi GoDaddy vào Chủ Nhật. Họ xác nhận tên miền không còn trong tài khoản của anh ấy nhưng không thể nói nó đã đi đâu vì lo ngại về quyền riêng tư. Họ bảo Lee gửi email đến [email protected]. Anh ấy đã làm nhưng không nhận được bất kỳ phản hồi nào.

Lee đã gọi tổng cộng 32 cuộc gọi, dành 9,6 giờ nói chuyện với GoDaddy và gửi 17 email mà không nhận được cuộc gọi lại nào. Mỗi cuộc gọi tạo ra một số vụ việc mới. Một vài số vụ việc là 01368489, 894760, 01376819... Không cái nào được liên kết với nhau ở phía GoDaddy. Mỗi lần leo thang lại bắt đầu từ con số không.

Màn hình khiếu nại tranh chấp chuyển giao

Điều gây bực mình nhất là tất cả các liên lạc chính thức với GoDaddy đều được thực hiện thông qua các tài khoản email có tên chung chung. Có vẻ như không có một cá nhân có tên thực sự nào chịu trách nhiệm quản lý vấn đề này.

Sự thật gây sốt về việc xác thực tài liệu

Vào chiều thứ Ba, sau bốn ngày chờ đợi, Flagstream cuối cùng cũng nhận được phản hồi email chính thức từ GoDaddy. Nội dung cho biết: "Sau khi điều tra các tên miền trong câu hỏi, chúng tôi đã xác định rằng người đăng ký tên miền đã cung cấp tài liệu cần thiết để khởi tạo thay đổi tài khoản... GoDaddy hiện coi vấn đề này đã được đóng."

Đó là tất cả. Không có giải thích nào về tài liệu đó là gì. Không có cách nào để tranh chấp.

Khi GoDaddy tuyên bố vấn đề đã đóng, Flagstream bắt đầu chuyển đổi khách hàng sang một tên miền mới. Địa chỉ email mới, địa chỉ website mới. Việc chuyển đổi sang một tên miền mới là một khối lượng công việc khổng lồ, để lại nhiều vấn đề tồn đọng vì không còn quyền kiểm soát tên miền gốc.

Người lạ và sự giải quyết kỳ lạ

Sáng thứ Tư, Susan (không phải tên thật), sống cách trụ sở chính của khách hàng 2.000 dặm, đã nhận thấy điều gì đó kỳ lạ. Susan đang cố gắng lấy lại một tên miền hoàn toàn khác được sử dụng bởi một nhân viên cũ. Khi cô nhìn kỹ vào tài khoản GoDaddy của mình, tên miền trong tài khoản không phải là tên miền cô đã yêu cầu.

Cô đã thực hiện một vài cuộc gọi vì cô biết đây là vấn đề và cuối cùng đã liên hệ được với Flagstream. Làm việc với Susan, họ đã thực hiện chuyển chuyển tài khoản sang tài khoản của GoDaddy và đưa tên miền trở về nơi nó thuộc về. DNS hoạt động trở lại ngay khi Lee đang gõ email thông báo rằng mọi chuyện đã kết thúc. Toàn bộ quá trình lấy lại tên miền kéo dài ít hơn 5 phút.

Quá trình chuyển giao tên miền

Giải pháp cho vấn đề này không đến từ bộ phận hỗ trợ GoDaddy, mà đến từ một người lạ tình cờ nhận được tên miền và đủ thông minh, trung thực để gọi điện xung quanh vì cô biết có gì đó không ổn.

Lỗ hổng bảo mật khổng lồ

Sau khi nói chuyện với Susan, Flagstream đã tìm ra chính xác cách cô ấy có thể "nhận" nhầm tên miền đó. Susan đã email GoDaddy hai tuần trước đó để yêu cầu khôi phục một tên miền khác (HELPNETWORKLOCAL.ORG), không phải HELPNETWORKINC.ORG.

Chữ ký email của Susan tình cờ có tham chiếu đến website của chi nhánh của cô ấy, là một tên miền con của HELPNETWORKINC.ORG. Đội ngũ khôi phục của GoDaddy dường như đã nhìn vào chữ ký, thấy tên miền cha, và chuyển tên miền đó vào tài khoản của cô ấy.

GoDaddy đã gửi cho Susan một liên kết để tải lên tài liệu hỗ trợ. Liên kết hết hạn trước khi cô kịp sử dụng. Cô emailed lại yêu cầu liên kết mới. Tuy nhiên, trước khi liên kết mới đến, cô nhận được email nói rằng chuyển giao tên miền đã được phê duyệt.

Susan chưa bao giờ gửi một tài liệu nào. Không phải cho tên miền cô cố gắng lấy lại, và chắc chắn không phải cho tên miền GoDaddy đã đưa cho cô. GoDaddy đã phê duyệt thay đổi tài khoản, chuyển tên miền của một tổ chức phi lợi nhuận 27 tuổi vào tài khoản của người lạ, và "coi vấn đề đã đóng" mà không yêu cầu bất kỳ tài liệu nào.

Hậu quả và bài học

Nếu Susan là một tác nhân xấu, cô ấy có thể đã chặn email, sử dụng email đó để đặt lại mật khẩu, lấy mã MFA, tung ra các cuộc tấn công lừa đảo (phishing), hoặc đưa mã độc lên website.

Điều này thật đáng phẫn nộ rằng Susan có thể lấy được tên miền này mà không cần cung cấp bất kỳ tài liệu nào. Mọi người may mắn vì người nhận được tên miền là Susan.

Hiện tại, Flagstream có khả năng sẽ chuyển mọi tên miền của khách hàng ra khỏi GoDaddy. Đó là sự bảo vệ duy nhất họ còn lại, và dường như là cách duy nhất để GoDaddy thực sự phản hồi.

Liệu tên miền của bạn có đang nằm ở GoDaddy không? Bạn sẽ làm gì nếu tên miền đó biến mất khỏi tài khoản và toàn bộ doanh nghiệp của bạn bị chìm trong bóng tối? Đây là một lời cảnh tỉnh nghiêm trọng về tầm quan trọng của việc chọn nhà cung cấp dịch vụ uy tín và các quy trình bảo mật nội bộ chặt chẽ.